Google的實體安全金鑰Titan正式上市 - iThome

實體安全金鑰Titan包含USB金鑰及藍牙/NFC的備份鑰匙，內部晶片包含Google所開發、用以驗證金鑰完整性的韌體，以防止Google帳號遭網釣及社交工程攻擊。

移至主內容 文/林妍溱 | 2018-08-31發表 圖片來源: Google GoogleI/O上宣佈用於防止釣魚網站的實體安全金鑰Titan周四正式在GoogleStore上架。

可惜，台灣地區尚未開賣。

目前在GoogleStore銷售的Titan安全金鑰包含一對，分別為USB及藍牙/NFC版本，售價50美元，藍牙/NFC版主要作為備份鑰匙，也可用於解鎖行動裝置。

Titan安全金鑰採用Google參與開發的FIDO規格，內部晶片包含Google開發、用以驗證金鑰完整性的韌體，旨在防止Google帳號遭受網釣及其他竊取用戶密碼的社交工程攻擊。

Google認為FIDO標準是最能防範網釣、最強大的雙因素認證。

而比起傳統以簡訊傳送一次性密碼的雙因素驗證（2FA）方式，它還可省下使用者記憶複雜密碼的麻煩。

Google引述Verizon2018資料外洩調查報告指出，企業內部41.6%的資料外洩是出於密碼被竊、網釣和假冒身份。

2012年起，Google和Yubico、NXP作在內部署實體安全金鑰作為第二驗證，今年GoogleI/O上發佈這款產品時，Google宣稱全公司8.5萬名員工過去一年沒有發生過任何網釣事件。

Google早在去年針對政治人物、記者等可能被竊密的用戶推出進階防護方案（AdvancedProtectionProgram）即曾包含同樣概念的硬體金鑰，只是當時Google推薦的是合作夥伴Yubico的USB安全金鑰YubiKey。

Google周四指出，Titan安全金鑰和別家產品最大的不同在於它的生產過程。

它負責執行密碼運算的韌體在製造階段即永久封裝在安全元件硬體晶片中，這個晶片可免於抓出韌體和密鑰內容的實體攻擊，然後再送到工廠產線上生產成實體金鑰，安全性高於於事後才加入防護的生產過程。

（來源：Google） 雖然Google對產品的安全性掛保證，但有一點頗值得注意。

CNBC及TheInformation報導，製造Titan安全金鑰的是中國業者飛天誠信（Feitian）生產。

Google僅在其新聞稿中提及Yubico和飛天誠信都生產類似產品。

Titan安全金鑰可用於所有支援FIDO驗證協定的網站，除了Google自家服務，其他較知名的服務包括Dropbox、臉書、GitHub、Salesforce、Stripe、Twitter等。

要用於Google帳號時，需先到Google帳號下的兩步驟驗證頁開啟設定，GoogleCloud管理員則可在GSuite及GoogleCloudPlatform上強制用戶使用硬體安全金鑰。

iThomeSecurity 熱門新聞 微軟釋出Windows1022H2 2022-10-19 iOS16依然繞過VPN建立連線，洩露用戶資訊 2022-10-18 Fortinet坦承軟體重大漏洞有多起攻擊，且為數眾多的用戶仍未修補 2022-10-18 漢莎航空禁AirTag政策不到一周急轉彎 2022-10-17 25萬名美國陸軍將改用GoogleWorkspace 2022-10-18 政院將修正禁用中國資通產品條例，例外使用需經資安長同意 2022-10-19 荷蘭智取勒索軟體集團Deadbolt，利用比特幣交易空窗獲得逾150個解密金鑰 2022-10-17 研究人員發現幾乎無法偵測到的PowerShell後門程式 2022-10-20 Advertisement 2022iThome鐵人賽 iThomeSecurity 專題報導 2022臺灣資安大會特別報導：人才篇 2022臺灣資安大會特別報導：企業篇 【記憶體「大共享池」時代來臨】CXL崛起！帶動伺服器架構革命 【日本最大電信災情！KDDI事故的三堂課】電信關鍵基礎設施大斷線 iThome2022資安大調查（下） 更多專題報導